想請教各位前輩,我有一個網域管理員群組(Administrators)權限的帳號A,在一次重開機之後,原本不需要提權執行的程式,卻都變成全部都要提升本機權限(本機管理員)才能執行。有什麼原因可能造成這樣?我要怎麼讓這個帳號重新擁有網域管理員的權限?
1、近期沒有做windows更新
2、10月初有做樹系、網域等級的提升
3、有重加退群組了
1.帳號A未在 Domain Admin群組成員中或是本機Administrator群組中未有Domain Admin群組.
2.檢查GPO看一下是哪個同事動了群組原則
https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview
之前有邦友問過類似的問題,您可以參考看看。
在最後一位kevinhuang大的回答中,我看到一句話(斜體加粗部份)覺得可能是關鍵:
Domain Admin ==> 此為一個安全屬性的群組,在Active Directory環境中,它擁有針對該擁有的網域中的所有物件的完全控制的權限,預設會被加入到該網域中所有電腦中的本機的Administratore管理群組中。
在看邦友討論的過程中,我也在想微軟為什麼在網域中有分Administrators及Domain Admins這兩個群組,權限都非常大,分別要應用在什麼情境?剛好看到了這句話,推論Administrators是用於DC管理上,而Domain Admins用於Client端管理用。
怎麼驗證我的推論正不正確?原PO您可以將A帳號加入Domain Admins群組中,再重新登入試試看~~
你在該Server上執行程式時需要提權就代表你登入的帳號沒有本機管理者或本機管理者群組的權限。
而用戶端加入網域後本機管理者群組裡除了原本的本機administrator帳號外還會自動加入Domain Admins群組,也就是說你用"本機administrator"跟"Domain Admins群組"登入時不需要提權執行程式。
即使你的網域帳號A在"網域administrators群組"裡,在該Server上使用網域帳號A登入依舊無法取得本機管理者的權限(除非網域帳號A或"網域administrators群組"同時也存在"Domain Admins群組"裡)。
我猜想可能的情形有二